Inleiding
Stel dat u de GitHub-beheerder voor een project bent en dat u er zeker van wilt zijn dat de code geen beveiligingsproblemen of fouten bevat. Het kan erg tijdrovend zijn om uw codebasis handmatig te controleren, met name als deze groot is. Uw bedrijf heeft zojuist een GitHub Advanced Security-licentie aangeschaft waarmee u tijd en moeite bespaart door codescans te gebruiken. Bij het scannen van code ontvangt u waarschuwingen die duiden op problematische code. Vervolgens kunt u snel de probleemgebieden vinden en de benodigde wijzigingen aanbrengen. Als u codescans wilt inschakelen, moet u weten welke hulpprogramma's beschikbaar zijn en wat hun functies zijn. U moet ook begrijpen hoe vaak codescans moeten worden uitgevoerd en welke typen gebeurtenissen u kunt gebruiken om scans te activeren.
In deze module maakt u kennis met codescans en de bijbehorende functies. U leert hoe u codescans implementeert met behulp van CodeQL, hulpprogramma's van derden en GitHub Actions. U krijgt ook informatie over de verschillende manieren waarop u codescans kunt configureren om uw ervaring te optimaliseren.
Leerdoelen
Als u deze module hebt voltooid, kunt u het volgende:
- Beschrijf code scannen.
- Vermeld de stappen voor het inschakelen van codescans in een opslagplaats.
- Vermeld de stappen voor het inschakelen van codescans met analyse van derden.
- Contrasteer het implementeren van CodeQL-analyse in een GitHub Actions-werkstroom versus een CI-hulpprogramma (Continuous Integration) van derden.
- Leg uit hoe u codescans configureert voor een opslagplaats met behulp van trigger-gebeurtenissen.
- Vergelijk de frequentie van werkstromen voor codescans (gepland versus geactiveerd door gebeurtenissen).
Basisvereisten
- Een GitHub-account
- Bekendheid met het beheren van GitHub-beheerinstellingen
- Basiskennis van GitHub Actions